Finalmente, la última fase que propongo para la implantación de la LOPD en pymes y micropymes es la Fase 4, cuyo objetivo es la implantación de todos los procedimientos, medidas, normas, reglas y estándares recogidos en el Documento de Seguridad elaborado en la fase 2.
.JPG)
Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento.
En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como:
1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/o cesión de sus datos (art. 6 de la LOPD).
Aspectos necesariamente a considerar para ello serán los siguientes:
1.1.- Tratamiento y cesión de datos de los empleados: se debe informar a los trabajadores, por ejemplo mediante un anexo al contrato de trabajo, básicamente, de la existencia de un fichero o tratamiento, de su finalidad, de los posibles destinatarios de la información, de la posibilidad de ejercer los derechos que la Ley les reconoce (acceso, rectificación, cancelación y oposición), y de la identidad y dirección del Responsable del Fichero o Tratamiento.
Cabe recodar, como ya se ha indicado en un post anterior, que el deber de informar subsiste siempre, es decir, hay que cumplirlo con independencia de si se precisa o no el consentimiento para el tratamiento o cesión de los datos.
Ejemplos de cesiones de los datos de los empleados son aquellas que tienen como destinatarios a: administraciones tributarias, organismos de la seguridad social, entidades bancarias para el pago de los salarios, etc., pero es importante revisar todas las comunicaciones que se realizan para informar convenientemente de ellas a los interesados (por ejemplo, si es el caso, a clientes que contraten a la empresa para la realización de determinados trabajos, etc.).
En cuanto al consentimiento de los trabajadores para el tratamiento o cesión de sus datos, sería en el citado anexo donde propongo que se recabe también éste, cuando así se precise. La mayoría de los tratamientos y cesiones que se realizan de los datos de los empleados no requieren de su consentimiento, por estar amparados en una Ley (caso de las cesiones a las administraciones tributarias y organismos de las seguridad social) o pertenecer los datos a una de las partes de una relación contractual, en este caso laboral, y ser estos necesarios para su control, desarrollo o mantenimiento (como es el caso de las cesiones a las entidades bancarias para el pago de los salarios), pero es muy importante recabar el consentimiento de los trabajadores en aquellos supuestos en los que éste es exigible, por lo que habrá que prestar especial atención a este aspecto.
1.2.- Otros temas a considerar con respecto al deber de informar a los interesados y al consentimiento por parte de los mismos, son los siguientes:
- Textos a incluir en formularios de recogida de datos: Se trata de incluir en este tipo de formularios los textos correspondientes para informar y, si se precisa, solicitar el consentimiento de las personas pertenecientes a otros colectivos de los que se recabe y trate datos de carácter personal (clientes, candidatos de empleo, etc.). La idea es la misma que para lo expresado en el punto 1.1. con relación a los empleados, pero, lógicamente, adaptado a las finalidades y tratamientos de los datos de cada colectivo concreto.
- Textos a incluir en formularios web: de forma análoga que en el caso de los formularios en soporte papel, habrá que incluir los correspondientes textos en aquellos formularios web en los que se recaben datos de carácter personal (un ejemplo típico de esto son aquellos formularios web en los que se solicitan curriculums de los candidatos a un puesto de trabajo, o se pueden introducir sugerencias y comentarios, etc.).
- Textos a incluir en los mensajes de correo electrónico: Ídem que lo anterior para los mensajes de correo electrónico, es decir, incluir la leyenda correspondiente en el píe de los mensajes, aunque en estos casos la finalidad suele ser genérica.
- Carteles de videovigilancia: Si es el caso, ubicar en lugar claramente visible los carteles de zona videovigilada y tener a disposición de los interesados que así lo soliciten el correspondiente texto informativo (los modelos de cartel y cláusula informativa se pueden obtener en la página web de la AEPD - www.agpd.es - en el canal de responsable de ficheros).
2.- Deber de secreto: Es importante resaltar que el Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos están obligados por Ley (art. 10 de la LOPD) al secreto profesional de los mismos y al deber de guardarlos.
Se puede utilizar el anexo a contrato, citado en el punto 1.1., para recodar a los trabajadores con acceso a datos de carácter personal el deber de secreto respecto a aquellos datos que pudieran conocer en el ejercicio de sus funciones y, al mismo tiempo, obtener su compromiso en lo que se refiere al cumplimiento de la normativa interna en esta materia, es decir, en cuanto al acceso y tratamiento de los datos, normativa que se les habrá comunicado y en la que se les habrá formado convenientemente en la fase anterior.
3.- Regularizar contratos de prestación de servicios con los Encargados de Tratamiento: Se trata de incluir las cláusulas pertinentes (con aquellos extremos que el art. 12 de la LOPD indica que se deben establecer expresamente) en los contratos de servicios con terceros vigentes y cuyo cumplimiento implique un acceso por parte de estos últimos a datos de carácter personal de la empresa (ejemplo típico en pymes o micropymes son los contratos con asesorías).
Por tanto, habrá que revisar todos los contratos de este tipo existentes para incluir dichas cláusulas. Esta actividad es importante, ya que, como se indicó en un post anterior, el acceso a datos por parte de terceros para la prestación de un servicio al Responsable del Fichero no se considera cesión, pero de no hacerse así dicho acceso podría ser considerado como una comunicación para la que no se ha obtenido el consentimiento del afectado y, por tanto, se estaría expuesto a la correspondiente sanción.
4.- Regularizar contratos de prestación de servicios sin acceso a datos de carácter personal: de igual forma que en el caso del acceso a datos por cuenta de terceros, habrá que revisar todos los contratos de servicios cuyo cumplimiento no implique el acceso a datos de carácter personal (ejemplos típicos de este tipo de servicios son: limpieza, mensajería, etc.), con objeto de incluir una cláusula que prohíba el acceso a los datos y recursos que los contengan y establezca el deber de secreto de aquellos datos que pudieran conocerse como consecuencia de la prestación del servicio.
Hasta aquí este post, con objeto de no hacerlo excesivamente largo, en el que he tratado los principales aspectos “formales” de la implantación (no de forma exhaustiva, pero sí, de aquellos que considero más relevantes). En mi opinión, muchas pymes y micropymes se quedan exclusivamente en esto, sin prestar atención a la implantación de los aspectos organizativos y técnicos que en la práctica son los que garantizan una adecuada protección de los datos de carácter personal manejados por la organización. En los siguientes y últimos posts trataré sobre la implantación de estos últimos aspectos.
Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento.En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como:
1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/o cesión de sus datos (art. 6 de la LOPD).
Aspectos necesariamente a considerar para ello serán los siguientes:
1.1.- Tratamiento y cesión de datos de los empleados: se debe informar a los trabajadores, por ejemplo mediante un anexo al contrato de trabajo, básicamente, de la existencia de un fichero o tratamiento, de su finalidad, de los posibles destinatarios de la información, de la posibilidad de ejercer los derechos que la Ley les reconoce (acceso, rectificación, cancelación y oposición), y de la identidad y dirección del Responsable del Fichero o Tratamiento.
Cabe recodar, como ya se ha indicado en un post anterior, que el deber de informar subsiste siempre, es decir, hay que cumplirlo con independencia de si se precisa o no el consentimiento para el tratamiento o cesión de los datos.
Ejemplos de cesiones de los datos de los empleados son aquellas que tienen como destinatarios a: administraciones tributarias, organismos de la seguridad social, entidades bancarias para el pago de los salarios, etc., pero es importante revisar todas las comunicaciones que se realizan para informar convenientemente de ellas a los interesados (por ejemplo, si es el caso, a clientes que contraten a la empresa para la realización de determinados trabajos, etc.).
En cuanto al consentimiento de los trabajadores para el tratamiento o cesión de sus datos, sería en el citado anexo donde propongo que se recabe también éste, cuando así se precise. La mayoría de los tratamientos y cesiones que se realizan de los datos de los empleados no requieren de su consentimiento, por estar amparados en una Ley (caso de las cesiones a las administraciones tributarias y organismos de las seguridad social) o pertenecer los datos a una de las partes de una relación contractual, en este caso laboral, y ser estos necesarios para su control, desarrollo o mantenimiento (como es el caso de las cesiones a las entidades bancarias para el pago de los salarios), pero es muy importante recabar el consentimiento de los trabajadores en aquellos supuestos en los que éste es exigible, por lo que habrá que prestar especial atención a este aspecto.
1.2.- Otros temas a considerar con respecto al deber de informar a los interesados y al consentimiento por parte de los mismos, son los siguientes:
- Textos a incluir en formularios de recogida de datos: Se trata de incluir en este tipo de formularios los textos correspondientes para informar y, si se precisa, solicitar el consentimiento de las personas pertenecientes a otros colectivos de los que se recabe y trate datos de carácter personal (clientes, candidatos de empleo, etc.). La idea es la misma que para lo expresado en el punto 1.1. con relación a los empleados, pero, lógicamente, adaptado a las finalidades y tratamientos de los datos de cada colectivo concreto.
- Textos a incluir en formularios web: de forma análoga que en el caso de los formularios en soporte papel, habrá que incluir los correspondientes textos en aquellos formularios web en los que se recaben datos de carácter personal (un ejemplo típico de esto son aquellos formularios web en los que se solicitan curriculums de los candidatos a un puesto de trabajo, o se pueden introducir sugerencias y comentarios, etc.).
- Textos a incluir en los mensajes de correo electrónico: Ídem que lo anterior para los mensajes de correo electrónico, es decir, incluir la leyenda correspondiente en el píe de los mensajes, aunque en estos casos la finalidad suele ser genérica.
- Carteles de videovigilancia: Si es el caso, ubicar en lugar claramente visible los carteles de zona videovigilada y tener a disposición de los interesados que así lo soliciten el correspondiente texto informativo (los modelos de cartel y cláusula informativa se pueden obtener en la página web de la AEPD - www.agpd.es - en el canal de responsable de ficheros).
2.- Deber de secreto: Es importante resaltar que el Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos están obligados por Ley (art. 10 de la LOPD) al secreto profesional de los mismos y al deber de guardarlos.
Se puede utilizar el anexo a contrato, citado en el punto 1.1., para recodar a los trabajadores con acceso a datos de carácter personal el deber de secreto respecto a aquellos datos que pudieran conocer en el ejercicio de sus funciones y, al mismo tiempo, obtener su compromiso en lo que se refiere al cumplimiento de la normativa interna en esta materia, es decir, en cuanto al acceso y tratamiento de los datos, normativa que se les habrá comunicado y en la que se les habrá formado convenientemente en la fase anterior.
3.- Regularizar contratos de prestación de servicios con los Encargados de Tratamiento: Se trata de incluir las cláusulas pertinentes (con aquellos extremos que el art. 12 de la LOPD indica que se deben establecer expresamente) en los contratos de servicios con terceros vigentes y cuyo cumplimiento implique un acceso por parte de estos últimos a datos de carácter personal de la empresa (ejemplo típico en pymes o micropymes son los contratos con asesorías).
Por tanto, habrá que revisar todos los contratos de este tipo existentes para incluir dichas cláusulas. Esta actividad es importante, ya que, como se indicó en un post anterior, el acceso a datos por parte de terceros para la prestación de un servicio al Responsable del Fichero no se considera cesión, pero de no hacerse así dicho acceso podría ser considerado como una comunicación para la que no se ha obtenido el consentimiento del afectado y, por tanto, se estaría expuesto a la correspondiente sanción.
4.- Regularizar contratos de prestación de servicios sin acceso a datos de carácter personal: de igual forma que en el caso del acceso a datos por cuenta de terceros, habrá que revisar todos los contratos de servicios cuyo cumplimiento no implique el acceso a datos de carácter personal (ejemplos típicos de este tipo de servicios son: limpieza, mensajería, etc.), con objeto de incluir una cláusula que prohíba el acceso a los datos y recursos que los contengan y establezca el deber de secreto de aquellos datos que pudieran conocerse como consecuencia de la prestación del servicio.
Hasta aquí este post, con objeto de no hacerlo excesivamente largo, en el que he tratado los principales aspectos “formales” de la implantación (no de forma exhaustiva, pero sí, de aquellos que considero más relevantes). En mi opinión, muchas pymes y micropymes se quedan exclusivamente en esto, sin prestar atención a la implantación de los aspectos organizativos y técnicos que en la práctica son los que garantizan una adecuada protección de los datos de carácter personal manejados por la organización. En los siguientes y últimos posts trataré sobre la implantación de estos últimos aspectos.
Comentarios
Publicar un comentario